工控系统冗余双环网等保三级方案设计

2022-05-07万烁赵柘史晓宇梁磊庞然

计算机与网络 2022年6期

万烁赵柘史晓宇梁磊庞然

摘要：水利工程工控系统是水利工程基础设施的重要组成部分，是水利工程中各项工控数据的监测与视频监控系统的一体化平台。工控系统的网络安全是水利工程得以正常运行的基础，其业务信息安全保护等級为三级。以北京南水北调团城湖管理处及其下属各管理所与泵站工控系统网络结构为背景，提出了一整套网络安全等级保护三级的加固方案，建立了安全运维管理区、数据中心区、数据交换区和数据生产区4个安全区域的分区域安全防护，给出了数据生产区2种安全加固方案，完善了防火墙、入侵检测以及灾难恢复等网络安全设施和管理制度，综合提升了管理处的网络安全，达到了网络安全等级保护三级的要求。

关键词：工控系统；冗余双环网；网络安全；等级保护；工业防火墙

中图分类号：TP393文献标志码：A文章编号：1008-1739（2022）06-66-6

0引言

水利工程作为国家重要的关键信息基础设施，是国家经济社会运行的神经中枢。水利工程的工业控制系统网络安全更是重中之重，一旦遭到破坏或者丧失功能、数据泄露，将对社会和人民的合法权益产生严重危害，因此，加强水利工程关键信息基础设施的网络安全保护刻不容缓。团城湖管理处的工业控制网络前期完成了基础的组网搭建，实现了各级泵站与调度中心和水库的系统连接。但是，总体的工控网络安全保障防护体系尚未形成，包括未建立安全防护技术体系和安全管理保护体系，仅根据现有的业务需求在工控网络与业务内网的边界架设了隔离网闸进行单向数据摆渡和区域隔离，整体上仍缺少安全保护的措施，网络内部依旧存在安全隐患。根据网络安全等级保护标准的基本要求[1]，其工控系统内网网络安全等级保护确定为三级。

随着信息技术的飞速发展，工业控制系统安全防护已不能仅停留在普通网络安全设备的层面上，三级等级保护是从信息保护、安全审计和通信保密等多个层面完善网络安全的物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等多层次、多方面的综合安全防护体系[2-5]。为了保证调蓄工程的安全、稳定、有序运行，本文针对管理处网络安全等保三级的需求，对工控内网冗余双环网拓扑结构分析后，为其设计了一整套的网络安全方案，使用网络安全设备实现业务外网和互联网与工控内网的强逻辑隔离，通过对工控内网网络冗余可靠性分析，证明了冗余双环网在工控内网的低延迟和热切换，完善了工控内网的网络安全防护体系，满足了三级等级保护的需求。

1工控内网

南水北调团城湖管理处工控内网系统包括集数据与图像传输为一体的自动化监控系统和管理供配电的电力监控系统，主要承担各级泵站、闸站、机组和辅机等设备设施和线路的运行监控、安全监测、水质监测、远程调度等自动化控制管理，以及设备设施和线路的供配电自动化控制管理等相关业务[6]。

1.1工控系统组成

目前工控内网系统主要包含自动化监控和电力监控2个子系统。自动化监控系统包括了全线监视、多级调度、机组监控、闸站监视、水质监测、辅机参数、远程调度、故障报警和运行管理等功能模块，系统设备主要由主控机、网络、CPU和交换机等控制设备和通信设备组成，分为现场数据采集和控制执行输出单元、现地控制单元和站控单元3层分布式结构。电力监控子系统主要对各泵站、高低压室、交直流系统、变压器的电力情况进行实时监测及对供配电进行自动化控制管理等。该子系统完成10 kV变电站的电气模拟量、开关量、脉冲量、温度量及保护信息等的数据采集、计算、判别、报警、保护、事件顺序记录（Sequence of Event，SOE）、报表统计、曲线分析等，并根据需要向各保护测控单元发出指令，实现对各电气设备的控制和调节；同时实现间隔层设备工作方式的选择和各种工况下的操作闭锁逻辑功能等；可完成数据库和系统参数的定义、修改，报表的制作、修改，以及网络维护、系统诊断等工作。

1.2工控系统网络结构

目前管理处的工控内网已完成了整个管理处的冗余双环网，在管理处与管理所之间，同时使用在各管理所建立的冗余双环子网，冗余链路均使用千兆光纤铺设，且双环网同时运行，实现了管理处与管理所对各泵站工控内网的调蓄工程机电设备监控、水质监测和安全监测等。管理所与泵站的交换机为2层交换机，网络拓扑结构如图1所示。

图1中构建的冗余双环子网是根据管理所与各泵站之间的实际需求组网的，在管理所与下属泵站之间组建了工控内网的AB网且双网同时运行，并在管理所组网后接入管理处冗余双环网的AB网。在组网设备中，目前在管理处、管理所与各泵站之间主要使用的是由Moxa交换机组建的二层交换网络，管理所使用2台交换机分别接入工控内网环网的AB网，同样泵站将子系统入网设备终端整合后接入工控子网环网的AB网。双网同时运行保障了管理处各级生产数据网络中大容量工控数据与视频数据的传输，降低了网络信号传递过程的衰减，提升了网络结构的抗干扰能力和可靠性。在具体布线过程中，工控内网子系统在接入交换网络时使用百兆双绞线，在泵站汇总后由千兆光纤接入冗余双环子网，在双环子网内部使用的是基于生成树协议（Spanning Tree Protocol，STP）[7-8]或快速生成树协议（Rapid Spanning Tree Protocol，RSTP）[9-10]的Moxa私有Turbo Ring协议，该协议在20台以太网交换机全负载情况下，当网络组件或线路发生错误或中断时，可以在20 ms内迅速恢复网络联机的高速冗余环网机制，确保各种工业应用网络持续不间断地运作，提升了系统网络规划的弹性适应，降低了布线成本。

2等保三级加固方案

根据网络安全等保三级的要求，考虑到水利工业控制系统在时延敏感性、工业控制协议、工控网络架构、工业上下位机漏洞等方面的特点并根据管理处网络结构现状[11-13]，针对性地提出网络安全、主机安全、應用安全和数据安全加固实施方案，将管理处工控系统网络划分为4个安全区域。在系统网络与业务内网之间部署网闸实现强逻辑隔离，与业务外网、互联网物理隔离，在各区域边界之间部署了工业防火墙进行区域访问控制，各区域内部署工业卫士对接入设备进行安全防护，综合提升了管理处安全防护体系。

2.1分区域加固方案

针对管理处的网络安全现状进行分析，发现目前存在的问题如下：未将系统防护、数据保密等安全指标纳入工控系统中，存在底层上的安全问题；在工控网络环境中大量使用TCP/IP技术且部分工控网络与管理网络连接，防护措施薄弱，容易导致通过管理网络间接入侵工控系统；未加保护的工控内网可能受到恶意攻击，导致大量的恶意漏洞被攻击者掌握；未对泵站及工控数据调度中心主机进行安全加固；未在泵站间做有效区域隔离保护和访问控制策略；恶意代码和木马等对工控内网造成安全隐患。

在等保三级的防护策略上，加固方案将工控冗余双环网主网分为安全运维管理区、数据中心区、数据交换区和数据生产区4个安全区域。其中，在安全管理区增加部署工业审计、堡垒机、日志审计、监管平台等安全设备，对安全事件、用户行为、网络流量、系统运行情况等进行安全监测、审计、分析和统计，并通过监管平台实现对安全设备的统一管理和策略下发，提升主机安全；在数据中心区新增工业卫士软件实现工控内网的白名单管理机制，同时下联工业防火墙，对数据中心区进行边界防护，提升应用安全；在数据交换区前端工业设备新增工业交换机和工业防火墙接入核心交换机，通过数据交换区边界防火墙与数据交换区进行隔离防护，提升网络安全；数据生产区主要是针对管理所与下属泵站的工控冗余双环子网部署工业防火墙，提升接入冗余双环网主网的数据管理与安全防护，增强数据安全。本方案通过升级各区域信息安全的策略来实现整体加固，升级后的网络拓扑结构如图2所示。

2.2数据生产区加固方案

在设计数据生产区的方案时，根据实际管理层级的需要，先后给出了2种区域信息安全加固设计方案。第1种方案是保持冗余双环子网的结构不发生变化，将工业防火墙部署在各下属泵站的工控设备与冗余双环子网之间，从数据生产开始对数据的传输安全进行保护和访问控制。目前在冗余双环子网上使用的Moxa工业交换机，该交换机在构建环形网络时使用的通信协议为该公司基于STP或RSTP研发的私有协议Turbo Ring，因此在部署工业防火墙时需要将防火墙的通信协议设置为透明模式和路由模式混合部署，实现对内网路由以及终端等进行IP地址的配置，设置设备的访问控制规则，仅允许正常业务数据通过，拒绝其他访问，在增加网络安全的同时降低了用户管理的复杂度；同时通过配置防火墙的硬件旁路Bypass机制与接口和冗余电源等，实现在设备发生故障时的自动化风险规避，降低网络的中断风险。方案1的拓扑结构如图3所示。

方案1虽然可以实现区域数据安全的加固，但在实施部署时将需要在工控组态和冗余双环子网之间大量增加交换机，影响正常业务数据的传递，同时面临双环主网核心交换机接口数量不足问题。经多方专家论证，结合实际的网络安全需求，为了妥善解决方案1存在的问题以及各项数据安全等级与传输量不同的问题，升级后的方案2将工业防火墙部署在冗余双环网的子网AB网上，无需改造泵站与管理所之间的网络结构，大大降低了组网的复杂度。考虑到数据生产区和数据交换区逻辑隔离的问题和网络或可能发生线路错误或中断的问题，在子网的AB网上两端各部署一台工业防火墙对管理所下属各泵站传输的数据进行过滤，在数据生产区和数据交换区边界上实现安全防护和边界隔离，同时合理地解决实际部署中的问题。在方案2中，数据生产区使用的是Moxa交换机及其Turbo Ring协议，防火墙设置的通信协议是透明模式和路由模式混合部署，通过管理设备、网络接口和访问控制的配置来提升日常运行的网络安全。同时设置入侵策略和白名单等功能，实现对入侵等安全威胁的预防，并通过查看功能确保防火墙的联通性、及时性与审计功能的正常运行。方案2的拓扑结构如图4所示。

3方案评测与分析

为了更好地提升管理处与管理所和泵站之间的信息安全等级保护，本文对比2种等保三级加固方案，发现数据生产区的2个加固方案都能够满足网络安全等级保护的基本需求，但在实施改造和网络适应性上存在着各自的优缺点。为了更好地改造在管理处的工控内网冗余双环主网和子网，本文进行了实际的方案分析与测试，给出了2种方案在硬件平台造价、网络可用性以及实用性等方面的全面评估。

3.1网络改造实施

首先对比2种方案的相同之处。通过图2可知，2种方案在安全运维管理区、数据中心区、数据交换区都进行了网络安全的加固。网络安全改造方案设备使用情况：在安全运维管理区加装了监管平台、工业审计、堡垒机以及日志审计设备的4台服务器；在数据中心区为泵站各工业控制系统的终端主机和服务器安装了共计100套的工业卫士软件，这些构成了工控内网网络的基本安全建设，满足了网络安全的通用要求；在数据交换区增加2台工业交换机和2台工业防火墙，保证网络结构的安全。

2种方案不同的是在数据生产区的不同位置部署工业防火墙，其中在方案1中将防火墙部署在泵站工控系统与子网之间，充分发挥其网络安全设备属性，只负责数据的过滤而不参与数据的传输，保证泵站数据生产的安全性和可靠性，但不能将数据生产与数据交换进行逻辑强隔离；在方案2中，工业防火墙直接部署在环网内，并通过相应的防火墙配置，实现了冗余双环子网与主网的安全隔离和数据传输的网络安全控制。

显而易见，方案1实现了数据生产区与其他分区的隔离与保护，保证了数据生产区的完整性和可扩展性，但是在现在的冗余双环子网上存在改造实施困难的问题；而方案2的实施节约了设备的使用量，以较低的工程造价实现了信息安全等保三级的加固实施方案，降低网络组网难度与用户管理的复杂度。

3.2数据生产区实测结果分析

为了充分验证2种方案的可行性，对数据生产区的2种方案进行了多次实测，分析加固方案网络结构的数据流向与可靠性。实测是在保障工业控制系统网络中主要业务系统（包括电力监控系统和调度监控系统）的业务正常运行的前提下进行的，主要目的是验证工业防火墙部署到工控系统冗余双环子网和泵站与子网之间2种情况下网络的可用性和时效性。

在实测过程中，根据网络结构，建立了未部署防火墙、在冗余双环子网上部署防火墙和在泵站与子网之间部署防火墙3个测试用例，并在合适位置选择测试点，测试用例拓扑结构如图5所示。

测试点有2个，分别选择在冗余双环网主网B网的主交换机和泵站二层交换机后与工控系统设备同级的位置。测试内容为由测试点1向测试点2发送ping命令，记录此时网络延时；测试点1连续向测试点2发送1 000个数据包，计算每个数据包之间的时间间隔；测试点1连续向测试点2发送1 000个数据包，期间断开B网交换机上的光纤，查看接收数据包数量，计算网络恢复时间。

通过实测得知，3个测试用例在进行ping命令时，均可获得相应测试点的反馈，且在冗余双环网内的反馈时间为1～2 ms，证明了网络的可用性，且连续发送与获取1 000个数据包的时间间隔为16 ms；连续发送1 000个数据包，共发送16次，其中8次发送数据包的过程中，断开B网环网交换机的光纤，另外8次发送数据包的过程中，连接上光纤，记录16次测试过程中的丢包数量，经计算分析得知断开光纤，第1个测试网络恢复平均时间为1 198 ms，连接光纤后网络恢复平均时间为250 ms；第2个测试用例网络恢复平均时间为1 068 ms，连接光纤后网络恢复平均时间为232 ms；第3个测试用例网络恢复平均时间为998 ms，连接光纤后网络恢复平均时间为262 ms。

相较于未部署防火墙，本文提出的加固方案1将防火墙部署在泵站与冗余双环子网之间，环路网络断网后通信建立的时间减少了130 ms，连通光纤后环路恢复的时间减少了18 ms；方案2将防火墙部署在冗余双环子网上，环路网络断网后通信建立的时间减少了200 ms，连通光纤后环路恢复的时间增加了12 ms，实现了管理所及下属泵站环网出入口的安全防护和边界隔离，同时大大提升了断网通信的恢复效率，完全符合数据生产区等保三级的加固需求。

4结束语

本文分析了团城湖管理处现行工控系统内网的冗余双环网络结构，针对其可能存在的安全隐患和信息安全升级加固的需求，提出了分区加固的等保三级方案，对4个安全区域实现物理安全防护、网络安全防护、主机安全防护、应用安全防护和数据安全防护。数据生产区作为数据生产的前端与终端，本文对比了2种符合等保三级的实施方案，最终确定了网络拓扑布局复杂度和实施难度更低的方案，降低了环路网络断网后通信恢复的时间，确保了数据生产区的网络可用性和时效性，为管理处工控内网信息安全等保三级的加固提供了可选方案。

参考文献

[1]中国国家标准化管理委员会.信息安全技术—网络安全等级保护基本要求：GB/T22239—2019[S].北京：中国标准出版社，2019.

[2]马力，祝国邦，陆磊.《网络安全等级保护基本要求》（GB/T 22239-2019）标准解读[J].信息网络安全，2019，19（2）：77-84.

[3]闫鹏.基于等保三级的医院网络信息安全体系构建[J].通讯世界，2019，26（10）：137-138.

[4]张旭刚，谢宗晓.网络安全等级保护及其相关标准介绍[J].中国质量与标准导报，2019，9：12-15.

[5]王素然，田芳.内蒙古广播电视台腾格里网信息安全等级保护设计与整改[J].数字传媒研究，2021，38（4）：52-57.

[6]万烁.基于大数据的南水北调来水智能调度管理系统设计[C]//中国水利学会2015学术年会.南京：河海大学出版社， 2015：171-180.

[7]杨华.STP在网络配置中的规划[J].网络安全和信息化，2018，12：58-60.

[8]邹志龙.生成树协议（STP）常见故障分析[J].福建电脑， 2018，34（11）：149， 160.

[9]徐威.RSTP快速收敛机制[J].科技風，2015，4：34.

[10]张士宗.基于VxWorks的快速生成树协议研究与实现[D].北京：北京邮电大学，2014.

[11]刘晓明，熊伟，佘海波.光纤双环网在高炉控制系统中的应用[J].冶金自动化，2012，36（1）：72-75.